Gần đây, xuất hiện một lỗi mới mà Meta đã vô tình bỏ sót cực kì nghiêm trọng trên nền tảng mạng xã hội lớn nhất thế giới này.
Mình là Võ Hữu Nhân, chuyên nghiên cứu bảo mật, khai thác các lỗi quan trọng trên các nền tảng mạng xã hội Google, Facebook, Youtube,…ở bài viết này mình sẽ chia sẻ quá trình khai thác vượt 2FA khi vào nick của người khác cũng như chia sẻ cho các bạn một số kinh nghiệm.
Chắc hẳn các bạn không còn quá xa lạ với Brute-force – một kĩ thuật tấn công phổ biến mà tin tặc sẽ tiến hành request dữ liệu lần lượt để kiểm tra dữ liệu chính xác.
Gần đây mình đã vô tình khai thác được một lỗi nghiêm trọng, giúp mình có thể gỡ mã 2FA từ số điện thoại của người khác, mình chỉ đơn giản là biết được số điện thoại của nạn nhân là có thể gỡ được mã 2FA của tài khoản này.
Về mặt lý thuyết, nếu bị khai thác, tin tặc sẽ cố gắng tấn công tài khoản Facebook của nạn nhân bằng các phương thức phishing, lừa đảo,…sau đó sẽ đăng nhập mà không cần phải sử dụng mã 2FA.
Các bước thực hiện
Đầu tiên, mình đã truy cập vào Trung tâm quản lý tài khoản của Facebook, sau đó thêm số điện thoại của nạn nhân vào tài khoản Facebook của mình, Facebook sẽ yêu cầu nhập mã xác nhận.
Đây là bước quan trọng nhất, mình sẽ tiến hành Brute-force API của Facebook vì API confirm code này không bị giới hạn lượt thử, đây chính là lỗi nghiêm trọng nhất khiến việc Brute-force 1 mã có 6 chữ số trở nên đơn giản hơn bao giờ hết, thậm chí có thể sử dụng Javascript để Brute-force mà không sợ bị chặn.
Sau khi Brute-force nhận về kết quả “Mã đúng”, số điện thoại sẽ được xác nhận trên tài khoản mới, lúc này tài khoản của nạn nhân sẽ được gửi về 1 email nội dung tương tự như này:
“Số điện thoại của bạn đã được cài đặt trên tài khoản khác, tính năng 2FA đã bị vô hiệu hóa”
Vậy là mình đã thành công gỡ được mã 2FA của tài khoản Facebook bất kỳ chỉ với số điện thoại!
Đây là lỗi mình khai thác từ tháng 7/2022, đến hôm qua vẫn khai thác được nên viết report luôn chứ không mới mẻ gì.